Seit 2015 ist das IT-Sicherheitsgesetz in Kraft, um kritische Infrastrukturen (KRITIS) zu schützen. Doch nach wie vor gibt es Unsicherheiten. Mehr Klarheit im KRITIS-Umfeld können Managementsysteme bieten. Doch dafür braucht es die Geschäftsführung und die Mitarbeiter eines Unternehmens.
„Sorge vor Hacker-Angriffen auf Stromnetze“ titelte im Juli der Generalanzeiger. Der Beitrag bezieht sich inhaltlich auf einen Medienbericht des „Wall Street Journal“, wonach es russische Angreifer bereits seit Jahren auf die Stromversorger abgesehen hätten. Und die könnten „Stromausfälle verursachen, wenn sie wollten – mit womöglich katastrophalen Folgen“. Nun liegt es sicher im Sinn des jeweiligen politischen Betrachters, ob das Ganze ein ausgeklügelter Plan eines anderen Staates samt Geheimdienst ist oder reine Propaganda der US-Administration. Die Wahrheit wird in diesen unruhigen Zeiten wie so oft irgendwo in der Mitte liegen. Sicher ist dagegen eines: Organisationen und Unternehmen aus den Bereichen der kritischen Infrastrukturen sind gefährdet, nicht nur im Energiesektor.
Quer durch alle sensiblen Branchen gilt seit Mai 2015 das IT-Sicherheitsgesetz. Dieses verabschiedete der Gesetzgeber mit dem Ziel, mehr Sicherheit für kritische Infrastrukturen zu erhalten. Nach Lesart des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) sind Infrastrukturen „bedeutsame Versorgungssysteme unserer Gesellschaft. Sie sind nicht nur alltäglichen Störungen und Gefahren, sondern auch Extremereignissen zum Beispiel durch Naturgefahren, technischem oder menschlichem Versagen oder vorsätzlichen Handlungen ausgesetzt.“ Und weiter heißt es beim BBK: „Infrastrukturen sind komplexe Systeme, von denen eine Vielzahl von Versorgungsfunktionen abhängen. Häufig sind Infrastrukturen voneinander abhängig; z.B. ist bei einem Ausfall der Stromversorgung auch die Informations- und Telekommunikationstechnologie betroffen und umgekehrt.“
Von Mindestsicherheitsniveaus und Unsicherheiten
In Verbindung mit der Rechtsverordnung BSI-KritisV werden Betreiber kritischer Infrastrukturen (KRITIS) benannt und gesetzlich verpflichtet ein Mindestsicherheitsniveau für relevante informationstechnische Systeme und Prozesse einhalten. Zu diesen gehören neben dem Energiebereich unter anderem das Finanz- und Versicherungswesen, der Gesundheitsbereich sowie die Informationstechnik und Telekommunikation.
Auf den entsprechenden KRITIS-Seiten heißt es hierzu: „Betreiber Kritischer Infrastrukturen (…) müssen damit künftig ein Mindestsicherheitsniveau an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.“ Mehr noch, gilt es diese Systeme und Prozesse extern prüfen zu lassen. Zertifikatspflichten wurden für diese KRITIS-Betreiber nicht vorgeschrieben, sondern das BSI rief die Betreiber und Verbände der jeweiligen Branche auf, sogenannte branchenspezifische Sicherheitsstandards (B3S) zu entwickeln. Bis dato gibt es diese in den Bereichen Wasser/Abwasser, IT und TK sowie Ernährung. Gleichwohl herrscht unter den vom BSI akzeptierten Prüf- und Zertifizierungsgesellschaften eine gewisse Verunsicherung, wie diese zu prüfen sind. So bietet manche Gesellschaft aus nachvollziehbaren Gründen §8a-Prüfungen nur in Kombination mit einem nativen 27001-Zertifikat an.
ISMS nach ISO/IEC 27001 kann helfen
Eine zentrale Frage, die sich bei allen KRITIS-Verpflichtungen stellt: Reicht die gesetzliche Vorgabe in der Praxis, um einen Schutz kritischer Infrastrukturen zu gewährleisten? Die Antwort dürfte geteilt ausfallen.
Der Sender „3Sat“ schreibt in einem Beitrag zu „Melden statt schützen: IT-Sicherheitsgesetz in Deutschland in der Kritik“ zu KRITIS: „Kritiker bemängelten unklare Vorgaben, was ein erheblicher IT-Sicherheitsvorfall denn überhaupt sei. Inzwischen hat das BSI die Kriterien genauer spezifiziert. So fallen etwa Angriffe darunter, die bisher noch nicht veröffentlichte Sicherheitslücken ausnutzen oder die nur mit erheblichem Aufwand abgewehrt werden können“
„Um mehr Klarheit mit Blick auf den Schutz der eigenen Infrastruktur im KRITIS-Umfeld zu erlangen, ist der Aufbau eines Informationssicherheits-Managementsystems, kurz ISMS, nach ISO/IEC 27001 hilfreich“, weiß Uwe Rühl, Geschäftsführer der Rucon Gruppe. Auch wenn es nicht notwendig ist, um den Anforderungen gem. §8a BSI-Gesetz gerecht zu werden. Bei den zu erbringenden Nachweisen für das BSI handelt es sich faktisch nicht um ein Zertifikat, sondern einen Sachstandsbericht. Zudem hat ein natives ISMS nach ISO/IEC 27001 den Vorteil, dass andere Managementsysteme, wie z.B. das Qualitätsmanagement oder auch der Bereich des Datenschutzes, als integriertes Managementsystem effizient und einheitlich im Unternehmen strukturierbar sind.
Allerdings ist ein reines ISO/IEC 27001-Zertifikat oftmals nicht ausreichend. Sofern es für einen Sektor einen sogenannten branchenspezifischen Sicherheitsstandard (B3S) gibt, sollte dieser für den Aufbau eines ISMS flankierend herangezogen werden. Das BSI stellt indes klar, dass es sich bei B3S typischerweise um „kein von einer Normungsorganisation wie DIN oder ISO erstellter Standard“ handelt. „Er soll ein Konzept sein, das von Branchenvertretern gemeinsam definiert wurde und das die Umsetzung von § 8a (1) BSIG bei den Betreibern Kritischer Infrastrukturen unterstützt und geeignete Sicherheitsanforderungen bzw. Sicherheitsvorkehrungen zusammenstellt.“
Geschäftsführung hat Vorbildfunktion
Die Einführung eines Managementsystems hängt maßgeblich von der Geschäftsführung ab. Die wichtigsten Schritte liegen zunächst in der Zustimmung der obersten Leitung und in der Kontextanalyse, um den Scope formulieren zu können. „Wenn die Geschäftsführung eines Unternehmens die Einführung eines Managementsystems nicht für sinnvoll erachtet und sie sogar eher blockiert, ist die Einführung zum Scheitern verurteilt“, so Rühl. Und er hebt hervor: „Sie hat eine Vorbildfunktion.“
Dies bestätigt auch die Beratungsgesellschaft PwC im Buch zur „Regulierung in der deutschen Energiewirtschaft“: „Elementares Schlüsselelement für den Erfolg eines ISMS ist der Umgang der Führungskräfte mit informationssicherheitsrelevanten Themen. Neben der eigenen Vorbildfunktion haben Führungskräfte nicht nur die Entscheidungen zur Sicherheitspolitik zu vermitteln, sondern auch Sorge dafür zu tragen, dass Mitarbeiter in der Lage sind, Risiken selbständig zu bewerten und bewältigen zu können.“
IT-Infrastruktur nur so gut wie die Mitarbeiter
In diesem Zusammenhang besteht vor allem die Gefahr, dass der konsequente Kompetenzaufbau der IT-Mitarbeiter ins Hintertreffen gerät. Denn eine IT-Infrastruktur ist letztendlich nur so gut, wie die Mitarbeiter, die sie betreiben.
Gerade in der Prozess-IT mit ihren oftmals langen Lebenszyklen von 15 und mehr Jahren, war IT-Sicherheit lange kein Verkaufsschlager. Deshalb standen diese Mitarbeiter auch nur nachrangig im Fokus sicherheitsrelevanter Personalentwicklung.
Hinzu komme nach Meinung von Uwe Rühl, dass Werbeveranstaltungen der eingesetzten Hersteller oftmals die einzige Informationsquelle seien. „Die Risiken, die mit dieser einseitigen Informationslage verbunden sind, sollten unbedingt im Fokus stehen“, warnt Rühl.
Im Mittelpunkt muss daher die Frage stehen, mit welchen Maßnahmen sich Mitarbeiter stärker in den ISMS-Prozess einbinden lassen. Als eine Grundvoraussetzung wird eine Basis-Awareness aller Mitarbeiter gesehen. Dies ist wichtig, damit diese überhaupt verstehen, was Informationssicherheit bedeutet. Mithilfe dieser Sensibilisierung lässt sich unter anderem zeigen, wie leicht Datendiebe an vertrauliche Daten gelangen – beispielsweise durch Social Engineering. Und auch in puncto IT-Systeme sind diese keinesfalls so sicher, wie Hersteller das gerne propagieren. Für das Topmanagement im Unternehmen ist es wichtig zu verstehen, dass ihre kritische Infrastruktur ein strategisches Angriffsziel ist, sowohl für staatliche als auch für kriminelle Gruppierungen. Und darauf müssen sich alle in der Organisation einstellen. Mit anderen Worten heißt das: Sicher ist nicht bequem – weder für das Topmanagement als auch die Mitarbeiter.
Alexander Burgis ist Spezialist in den Bereichen ISO/IEC 27001, ISO 22301, B3S-Kritis und Krisenstabsübungen, sowie Senior Berater bei der Rucon Gruppe.